是否应该披露 Artifactory API 密钥？-解网

问：

我已经 git 克隆了一个存储库，我注意到开发人员在 gradle.build 文件中设置了一个 artifactory 身份验证 API 密钥，以及他自己的用户名。这是安全问题吗？如果这个文件被泄露，黑客可以下载依赖项吗？我应该要求他撤销 API 密钥吗？（如果您添加支持您的回答陈述的参考资料，那就太好了）

安全 artifactory API 密钥

评论

0赞 Lk77 11/7/2023

如果存储库是公共的，并且 api 密钥是只读密钥，则没有问题

0赞 tripleee 11/7/2023

它是否授予对其他人不应访问的内容的访问权限？密钥是否用于收集某种指标并将其归因于特定用户或用例，以便进行跟进甚至预算？

0赞 inquirymind 11/7/2023

@tripleee是的，开发人员为了下载公司其他开发人员开发的依赖项而

0赞 tripleee 11/7/2023

那么如果你想防止这种情况，答案显然是肯定的。

答：

2赞 Hanan 11/7/2023 #1

公开共享密码或 API 密钥绝不是一个好主意，尤其是对于将来可能添加额外权限的私人帐户。

如果需要授予用户访问特定存储库/资源的选项，并且不想启用匿名访问，则可以使用临时用户

上一个：如何从安全的 SSoT 容器为 aws_db_instance 资源设置退出前的密码，同时将其保留在状态文件之外？

下一个：nodejs 中 config.json 文件中的安全凭据